Embed Size (px)
DESCRIPTION
Varstvo podatkov na inštitutu za varovanje zdravja rS. Metka Zaletel , IVZ Ljubljana, 26.11.2013. Vsebina. Načini zbiranja podatkov na IVZ Revizije sistema v preteklosti Opravljene aktivnosti, sprejeti notranji akti, politike,… Izzivi pred nami. Vloga IVZ. - PowerPoint PPT Presentation
Citation preview
VARSTVO PODATKOV NA INŠTITUTU ZA VAROVANJE ZDRAVJA RS
Metka Zaletel , IVZ
Ljubljana, 26.11.2013
VSEBINA
• Načini zbiranja podatkov na IVZ
• Revizije sistema v preteklosti
• Opravljene aktivnosti, sprejeti notranji akti, politike,…
• Izzivi pred nami
VLOGA IVZ• IVZ ima za zbiranje podatkov različne
pravne podlage, kar je posledica različnih funkcij v sistemu zdravstvenega varstva.• IVZ je eden od nosilnih upravljavcev zbirk
podatkov po ZZPPZ (Zakon o zbirkah podatkov s področja zdravstva, Ur.l.65/2000). Poleg tega za zbiranje podatkov uporablja še nekatere druge pravne podlage (ZPacP).
• IVZ je pooblaščen izvajalec v sistemu državne statistike.
• IVZ zbira občutljiveobčutljive osebne podatke.
PREPLETANJE FUNKCIJ• Primarni podatki niso zbrani na podlagi
ZDSta.• Izjema so nekatere ankete.
• Statistična raziskovanja s področja zdravja LPSR uporabljajo primarne vire IVZ kot vhodne podatke.
• Na podlagi notranjih aktov (Navodilo o življenjskem ciklu) podatki, ki so navedeni v LPSR, postanejo del uradnega statističnega sistema in se z njimi ravna v skladu z ZDSta.
SHEMA ZBIRANJA PODATKOV
Izvajalec ZD
Izvajalec ZD
Izvajalec ZD
Izvajalec ZD
Izvajalec ZD
ZZV1
ZZV2
…
….
IVZ Vhodni podatki
Glavna baza
Glavna baza
…. ….
LPSR ostalo
ZZPPZZZPPZ
ZDStaZDSta
ZVOPZVOP
REVIZIJE SISTEMA V PRETEKLOSTI• 2006: revizija sistema (podjetje Amoebius)• 2009: revizija računskega sodišča – negativno mnenje:
• IVZ ni zagotovil celovitega zbiranja, obdelave, poročanja in centralne organizacije vseh zbirk podatkov, ki jih zahteva ZZPPZ, zato ni deloval v skladu s tem zakonom;
• IVZ ni upravljal zbirk, ki vsebujejo osebne podatke, v skladu z določili Zakona o varovanju osebnih podatkov;
• IVZ ni zagotovil skladnosti delovanja z določili Zakona o varovanju osebnih podatkov glede poročanja o katalogu zbirk osebnih podatkov.
OPRAVLJENE AKTIVNOSTI,
SPREJETI NOTRANJI AKTI,
POLITIKE,…
OPRAVLJENE AKTIVNOSTI• Navodilo o življenjskem ciklu podatkov
• Vzpostavitev Centralne evidence zbirk podatkov
• Sprejetje krovne in področnih politik varovanja informacij• Sprejetje navodila o klasifikaciji informacij
• Pravilnik o varstvu osebnih podatkov (prenovljen)• Obdobne presoje varovanja podatkov v skladu z
ZVOP (interno)• Postopno posodabljanje informacijskega sistema• Izobraževanje vseh vključenih (zaposleni, ZZV)
NAVODILO O ŽIVLJENJSKEM CIKLU PODATKOV• Določa vrste podatkov v posamezni zbirki podatkov
• Vhodni podatki (prejeti podatki, dostop strogo omejen)
• Glavna baza (prečiščeni osebni podatki, dostop strogo omejen)
• Analitična baza (anonimizirani podatki, na voljo za različne analize)
• Makropodatkovna baza (agregirani podatki)
CENTRALNA EVIDENCA ZBIRK PODATKOV• Vsebuje vse ključne podatke o posamezni zbirki podatkov
• Pravne podlage
• Informacijska podpora in lokacija podatkov
• Dovoljeni dostopi zaposlenih
• Skladnost z ZVOP
• Komunikacijske poti poročanja
• Oblike diseminacije podatkov
KROVNA IN PODROČNE POLITIKE VAROVANJA INFORMACIJ
• fizične zaščite in fizičnega dostopa do informacijskega sistema
• izdelave in hrambe arhivskih kopij
• nadzora dostopa do aplikacij, informacij in sistemov
• nadzora dostopa do omrežja• nadzora sprememb
informacijskega sistema • o navodilih za klasifikacijo,
označevanje in ravnanje z informacijami
• oddaljenega dostopa
• razvoja, spreminjanja in vzdrževanja programske opreme
• revizijskih sledi• uporabe storitev interneta• upravljanja in varovanja gesel• upravljanja kakovosti in varnosti
storitev tretjih strank• upravljanja varnostnih
incidentov• varnostnega kopiranja• zagotavljanja kakovosti
infrastrukture• zaščite pred zlonamerno
programsko opremo• varovanja v zvezi z osebjem
PRAVILNIK O VARSTVU OSEBNIH PODATKOV• Prenovljen 2009 in 2011
• Določa dolžnosti zaposlenih in načine varstva osebnih podatkov
• Natančno definira evidenco posredovanj
• Vloga odgovornih oseb za zbirke
• Odbor za varstvo osebnih podatkov
• ….
OBDOBNE PRESOJE VAROVANJA PODATKOV V SKLADU Z ZVOP • Pregled posamezne zbirke
• Preizkus upoštevanja ZVOP, Pravilnika o varstvu osebnih podatkov
• Vertikalna in horizontalna presoja• Izvedba testa „v živo“• Preizkus poznavanja notranjih aktov
• Skupaj izvedenih 8 notranjih presoj, na podlagi tega so pripravljena odzivna poročila.
• Notranje presoje so sprejete pozitivno.
POSTOPNO POSODABLJANJE INFORMACIJSKEGA SISTEMA• Določitev prioritet pri posodabljanju
• Ureditev varnih poti podatkov (IVZ ZZV-ji, IVZ CRP,…)
• Varne poti za bolnišnične podatke že obstajajo (e-sprejem na MJU)
• Izziv: finančna sredstva, vpetost v projekte e-Zdravje
IZOBRAŽEVANJE• Izobraževanje zaposlenih
• Predavanja informacijske pooblaščenke
• Obdobna izobraževanja o pravilniku o varstvu osebnih podatkov, politiki informacijske varnosti, itd.
• Tečaj statistične zaščite podatkov
• Izobraževanje zaposlenih na ZZV-jih
• Delavnice, ki jih organizira IVZ
• Predavanja informacijske pooblaščenke
ODPRTA VPRAŠANJA
• Združitev IVZ in ZZV-jev• Vidik racionalnosti (zbiranje
podatkov enkrat za večkrat) varstvo podatkov• Skupno zbiranje podatkov IVZ + ZZZS
